从企业需求看视频系统安全机制的实现.docxVIP

从企业需求看视频系统安全机制的 实现 随着市场对多媒体通信的需求日趋强 烈,视频会议系统作为多媒体通信系统之一 在国内的应用也越来越广泛，日趋成为人们 关注的热点。除了政府部门以外,部队、公 检法、水利、石油、电信通讯、广播电视和 企业用户也都开始广泛应用视频会议系统。 伴随着视频会议系统的建设高潮的来临，其 安全问题也更加困扰业界。其实,中国在建 设第一个会议电视网的时候，就已经提出了 视频会议系统的安全保障的问题。从去年开 始，个别厂商的视频会议系统安全性问题不 断暴光,也令各种客户更加重视系统的安全 问题。 这个问题为什么这么重要呢 ？试想，如果视 频会议系统在安全方面出现问题，有黑客或 者是非授权的用户非法加入到会议中，则意 味着恶意攻击者可以轻易取得管理者的权 限，窃取管理者的口令，控制会议，监听会议 内容，甚至把会议的内容录下来，在网上公 开散播，后果不堪设想！所以安全问题会议 电视是一个非常重要方面。 要确保视频会议系统的安全，需要保护哪些 信息呢？首先,要能保证会议的隐私性，会议 除了合法的与会者外，其他人是应该无法看 到和了解的。第二，要保证会议的真实性，保 证会议的内容不被篡改。第三，要确保非法 的用户不能加入到会议里面。第四，与会者 或者会议中间发生的行为，是一个确认的行 为，是不能否认的。 下面主要从应用层安全机制、网络层安全机 制和用户实际应用的安全措施三个角度来 诠释如何为企业用户的视频会议系统提供 安全保证机制。 应用层安全问题解决方案 基于IP网络的视频会议系统采用标准。总 的来讲，的安全性是一个复杂的问题，它不 仅包括对音频、视频或数据流本身的保护 ， 还必须包括对（用于呼叫建立）、（用于呼叫 管理）及网闸 RAS（Registration/Admission/Status） 的 保护，以防止呼叫控制协议受到破坏。 这里,安全保证主要采用与安全机制相关的 协议中规定的机制来实现，主要有：身份认 证、数据完整性、数据加密和用户费用证实 机制(non-repudiation) 。 身份认证用于确定终端用户的身份，是视频 会议系统安全体制中最为重要的环节，如果 没有它，任何一个用户都可以冒充合法用户 进入网络。只有在被确认身份之后，才能够 提供进一步的安全保证。 数据完整性用于证实一个数据包有效数据 的完整性，从而保证在两个端点之间进行呼 叫过程中的有效数据不被修改或损坏。 数据 完整性利用加密机制来保证数据包的完整 ， 在这种方法中，只需要将校验数据加密，而 有效数据不必加密，从而减少了每个数据包 对加密处理的要求。 确保了数据的完整性之后，在用户允许的情 况下，还可以采用数据加解密技术来避免数 据的被窃听。数据的加密级别最终取决于企 业用户的要求和国家法律的限制。 用户费用证实机制用于防止某些用户否认 他们曾参与某一个呼叫。但是，就一般情况 来说，该机制更多的应用于电信运营商，因 为他们需要一种途径来准确估算服务所需 的费用，并证实这些费用的确用于用户的呼 叫。对企业用户而言，可以不必实施用户费 用证实机制。 网络层安全机制 目前，企业用户组建的视频会议系统多是基 于IP网络的，针对这种情况，还可以充分利 用网络层现有的IPSec协议,提出网络层的 安全解决机制。 正如大家所知，IP层安全性协议IPSec提供 了面向连接的TC闵日面向非连接的用户数据 协议两种安全性服务，而且使整个网络线路 上的路由器可以分担加解密所带来的负荷 ， 从而减轻终端的负荷。 利用IPSec协议的这 种特点，可在视频会议终端设备中增加用于 支持IPSec协议的iSec智能安全模块，这样 企业用户就可以防止各种人为的或网络病 毒带来的各种恶意攻击和篡改，保持传输过 程的数据完整性。 此外，如果不增加iSec智能安全模块，产品 的开放性也可为用户轻松提供 IP层安全防 护措施。例如，在产品中安装英特尔的 PRO/100 S网卡，该网卡能直接提供 IPSec（互联网协议安全）加密能力，从而实 现：用户的身份验证，防止未经授权的数据 访问;防止恶意的攻击和篡改，保持传输过 程的数据完整性；数据包加密，确保数据的 机密性。可以说，直接利用网卡实现IP层安 全的措施，是一种独特的开放平台终端设备 安全措施。 用户实际应用安全措施 除了上述两种安全机制以外，还可针对企业 用户的不同应用需求和网络现状，为企业用 户的视频会议系统提供如下几种安全防护 措施或安全问题解决方案。 首先，基于开放平台的设计，使视频会议系 统能充分利用Windows操作系统等外部机制 来加密数据包。用户可以在 Windows操作系 统中直接设置、选择 TLS/ SSL，提供TCP面 向连接的安全性服务，在应用程序之下，实 现对用户透明的加密。 这种安全防护能